CVE-2026-33067 in SiYuanالمعلومات

الملخص

بحسب VulDB • 23/05/2026

SiYuan هو نظام لإدارة المعرفة الشخصية. في الإصدارات 3.6.0 وما دونها، يتم عرض حقول بيانات الحزمة (displayName، description) باستخدام الحروف النمطية (template literals) دون تهريب HTML. يمكن لمؤلف حزمة خبيث حقن HTML/JavaScript تعسفي في هذه الحقول، والذي يتم تنفيذه تلقائياً عند تصفح أي المستخدم لصفحة Bazaar. نظراً لأن تكوين SiYuan في Electron يتيح nodeIntegration: true مع contextIsolation: false، فإن هذا الثغرة XSS تصعد مباشرة إلى تنفيذ كود عن بُعد كامل (RCE) على نظام التشغيل الخاص بالضحية — دون أي تفاعل من المستخدم سوى فتح علامة التبويب الخاصة بسوق التطبيقات. تم إصلاح هذه المشكلة في الإصدار 3.6.1.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

17/03/2026

إفشاء

20/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352032

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

9.0 (NVD)

EPSS

0.00109

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33067
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33067
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33067/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!